knipsel-2.JPG

GDPR, bent u er klaar voor?

25 mei 2018, het lijkt misschien nog veraf, maar het is hoog tijd om te starten met de implementatie van GDPR, de General Data Protection Regulation die op die datum van kracht wordt. De EU heeft op 27 april 2016 de definitieve versie gepubliceerd van deze wetgeving, die er in de eerste plaats gekomen is voor de bescherming van privégegevens. Onder privégegevens verstaan we alle data die kan gelinkt worden aan een individu, zoals bijvoorbeeld bankkaartgevens, paswoorden, financiële gegevens, medische en sociale gegevens. Met deze nieuwe wetgeving wil de EU in de eerste plaats de burgers terug meer controle geven over hun persoonlijke data. Een tweede belangrijk doel is de verdere ondersteuning van de digitale economie.

Voor wie geldt GDPR?

Een veel gehoorde misvatting is dat de wetgeving enkel zou gelden voor grote ondernemingen, maar GDPR geldt voor alle bedrijven die, onafhankelijk van hun grootte, onder deze criteria vallen:

  • Gevestigd zijn in de EU
  • Gevestigd buiten de EU, maar goederen en/of diensten leveren aan EU burgers
  • Persoonlijke gegevens verzamelen en/of het gedrag monitoren van EU burgers

De verschillende partijen in GDPR

  1. Datacontroller & dataprocessor

De datacontroller is de partij die eigenaar is van de privégegevens, die beslist waarvoor ze gebruikt worden en op welke manier ze verwerkt worden.

De dataprocessor verwerkt data in opdracht van de datacontroller, typisch is dit een serviceprovider. Wanneer u bijvoorbeeld als onderneming privégegevens verwerkt, maar deze zijn opgeslagen in de cloud, dan bent u de datacontroller en is de cloudprovider de dataprocessor.

  1. Toezichthouders

In elke EU lidstaat is er een Supervising Authority (SA), in België is dat de CBPL, de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Al deze SA’s worden op hun beurt gecoördineerd door de European Data Protection Board, het hoogste GDPR-orgaan binnen de EU.

  1. Datasubject

Onder het datasubject verstaan we het individu op wie de gegevens betrekking hebben.

Wat houdt deze nieuwe wet in voor uw onderneming?

Elke onderneming die privégegevens verwerkt, zal vanaf 25 mei 2018 een Data Protection Officer (DPO) moeten aanstellen.

De DPO zal regelmatige security audits uitvoeren, moet GDPR-compliantie kunnen aantonen en rapporteert aan de nationale SA en aan zijn directie. Hij is ook  verantwoordelijk voor een tijdige rapportering van datalekken. De DPO hoeft geen full-time rol te zijn en kan ook uitgevoerd worden door een externe partij.

Zowel de datacontroller als de dataprocessor moeten een DPO hebben. Beiden moeten in staat zijn om de veiligheid van de data continu te monitoren en datalekken tijdig op te sporen.

De DPO moet te allen tijde kunnen aantonen dat de privédata voldoende beveiligd zijn.

GDPR-boetes

In de wetgeving is er sprake van torenhoge boetes (tot 20 miljoen euro!) bij overtredingen. Het is echter niet zo dat een bedrijf beboet wordt omdat er een datalek is. Elke onderneming kan namelijk geconfronteerd worden met datalekken, een systeem dat 100 % veilig is bestaat helaas niet. De boetes gelden enkel als op onverantwoorde wijze met de data is omgegaan, als geen degelijke beveiliging is geimplementeerd of als niet tijdig en correct gerapporteerd werd aan de SA.

Welke zaken kan IT Provider in handen nemen omtrent GDPR

Voor alle securitygerelateerde zaken binnen de GDPR kunnen we  helpen en dit zowel met hardware, software als diensten:

  • Netwerk- en applicatiebeveiliging
  • Malware bescherming
  • Sterke authenticatie
  • Storage & back-up
  • Data encryptie
  • Fysieke beveiliging van het datacenter
  • Beveiliging van mobiele toestellen
  • Consultancy
  • Security audits
  • Monitoring / Rapportering

 

Meer informatie over GDPR van onze leveranciers:
http://www.microsoft.com/gdpr

Hebt u vragen hieromtrent , aarzel dan niet contact met ons op te nemen:
info@itprovider.be / +32 (0)51 40 98 63